Gestión de identidades (IAM) en 2026: más allá del usuario y contraseña
El 80% de los incidentes de seguridad comienzan con credenciales comprometidas. Una estrategia moderna de IAM combina MFA resistente a phishing, acceso just-in-time y monitoreo continuo de comportamiento.
La gestión de identidades y accesos (IAM) era un problema resuelto hace diez años: usuarios en Active Directory, contraseñas con política de caducidad, y listo. En 2026, ese modelo es una garantía de incidente. Las organizaciones que siguen confiando exclusivamente en usuario+contraseña enfrentan un nivel de riesgo que sus controles no pueden compensar.
El problema con las contraseñas
Las contraseñas fallan por razones estructurales, no por descuido de los usuarios. Se reutilizan entre servicios porque el cerebro humano no puede gestionar 50 credenciales únicas. Se filtran en brechas de terceros que el usuario no controla. Se capturan con phishing antes de llegar al servidor. Y los gestores de contraseñas, aunque mejoran el escenario, no eliminan el riesgo: una credencial master comprometida da acceso a todo.
El MFA tradicional (SMS o TOTP) tampoco es suficiente frente a ataques modernos. El adversary-in-the-middle phishing —donde el atacante actúa como proxy en tiempo real entre la víctima y el sitio legítimo— captura tanto la contraseña como el código OTP antes de que expiren.
La dirección correcta: FIDO2 y acceso just-in-time
FIDO2/Passkeys resuelven el problema de phishing por diseño. La clave privada nunca sale del dispositivo del usuario y la autenticación está ligada criptográficamente al dominio del sitio. Un proxy de phishing no puede reutilizar la autenticación porque la respuesta del dispositivo es diferente para cada dominio. Microsoft, Google y Apple ya tienen soporte nativo; la adopción empresarial es el siguiente paso.
Acceso just-in-time (JIT) cambia el modelo de "acceso permanente que se puede usar" a "acceso temporal que se activa cuando se necesita". Un administrador de sistemas no tiene permisos elevados en todo momento: los solicita, se aprueban con contexto (¿para qué? ¿hasta cuándo?), y se revocan automáticamente al vencer. Herramientas como HashiCorp Vault, CyberArk y las funciones de Privileged Identity Management de Azure AD implementan este patrón.
Monitoreo continuo de comportamiento
Un usuario con credenciales válidas puede seguir siendo una amenaza: la cuenta fue comprometida sin que el usuario lo sepa, o se trata de una amenaza interna. El User and Entity Behavior Analytics (UEBA) establece una línea base de comportamiento normal por usuario —horarios, ubicaciones, recursos accedidos, volumen de datos descargados— y alerta cuando hay desviaciones significativas.
No es necesario un SIEM de seis cifras para implementar algo básico: los logs de Entra ID (Azure AD) y AWS CloudTrail tienen alertas configurables para escenarios de alto riesgo como inicio de sesión desde un país nuevo, acceso a múltiples recursos en paralelo, o cambios de MFA.
Por dónde empezar
- Inventaría tus cuentas con acceso privilegiado y elimina las que ya no se usan.
- Implementa MFA en todos los accesos externos; prioriza FIDO2 donde sea posible.
- Aplica el principio de mínimo privilegio: nadie debe tener más acceso del que necesita para su función actual.
- Activa alertas básicas de comportamiento anómalo en tu proveedor de identidad.
La identidad es el nuevo perímetro. Protegerla no es un proyecto de seguridad: es el fundamento sobre el que descansa todo lo demás.